Systèmes de Détection D'intrusion : Réduction des Faux Positifs à l'aide de la Corrélation des Événements I. INTRODUCTION Les Systèmes de détection d'intrusion sont devenus un élément indispensable pour l'infrastructure de sécurité actuelle du réseau. Cependant, un grand nombre d'alertes en particulier les fausses alertes présentent un gros problème pour ces systèmes, ce qui réduit considérablement l'efficacité des IDS et rendre la situation difficile pour le responsable de sécurité pour identifier les attaques réussies et de prendre des mesures correctives [1], Pour résoudre ce problème, beaucoup de méthodes intelligentes ont été proposées pour réduire le nombre de fausses alertes, mais il est difficile de déterminer laquelle de ces méthodes est la mieux appropriée [2][3][4]. II. PROBLEMATIQUE Les systèmes de détection d'intrusion génèrent une énorme quantité d'alertes [3], où la plupart d'entre elles sont réelles tandis que les autres ne le sont pas (fausses alertes) ou sont des alertes redondantes. Les fausses alertes créent un grave problème pour les systèmes de détection d'intrusion. Elles sont définies en fonction de l’adresse IP source/destination et le port source/destination. Cependant, on ne peut pas savoir lequel de ces IP/Ports présentent une menace pour le réseau. Les alertes de l'IDS ne sont pas classées en fonction de leur degré de gravité ; il est difficile pour l'analyste de sécurité d’identifier les attaques et prendre des mesures correctives pour cette menace. Il est donc nécessaire pour aider à catégoriser le degré de la menace [1]. Dans ce contexte, le but de cet article est de réaliser une recherche bibliographique sur des méthodes et stratégies en contribuant à la réduction du nombre des faux positifs dans les systèmes de détection d’intrusion et de proposer une nouvelle approche de résolution basée sur un modèle de corrélation des évènements pour réduire les fausses alertes et augmenter le taux de détection des intrusions. III. ETAT DE L’ART La sécurité du réseau est un concept important qui est défini par la protection des ressources précieuses comme les services et l'information dans le réseau. Une intrusion est un ensemble d'actions qui visent à affecter cette sécurité et par conséquent endommager la confidentialité, l'intégrité et la disponibilité des ressources [4]. Ainsi, l'application de systèmes de détection et de prévention d'intrusion (IDS/IPS) est nécessaire comme un système défensif pour détecter l'activité d'intrusion possible [3]. La communauté de recherche a développé deux catégories de solutions: la détection par signatures et la détection des anomalies [5]. Les systèmes de détection basés sur les signatures cherchent des attaques connus par signature. Les règles sont donc déduites pour la détection des intrusions connues, ces règles sont donc efficaces pour détecter les tentatives d'intrusion connues. Cependant, ils ne parviennent pas à reconnaître de nouvelles attaques ce qui permet de générer une grande quantité de fausses alertes. La détection d'anomalies (parfois appelé détection comportementale) surmonte cette limitation de la détection par signature en mettant l'accent sur un comportement normal, plutôt que les attaques. Par exemple, une analyse permet la génération d'une alerte lorsque le nombre de sessions à destination d'un port donné dépasse un seuil pendant un intervalle de temps prédéfini. IV. REDUCTION DES FAUX POSITIFS: APPROCHES ET DEFIS Les systèmes de détection d'intrusion sont utilisés pour générer des alertes, ces alertes peuvent être classées en faux positifs et faux négatifs, Kruegel et Robertson [4] ont développé un plug-in pour le traitement des alertes de l’IDS SNORT. Julisch et Dacier [5] ont proposé une approche d’analyse de causes afin d'identifier les causes profondes qui déclenchent les faux positifs et de supprimer l'alerte générée. Cependant cette méthode ne peut pas être contrôlée. Pietraszek [6] a adopté un système basé sur des règles efficaces, ne nécessitant pas de connaissance humaine. L'inconvénient de ce système est qu'il nécessite des ressources croissantes vis-à-vis le cycle de vie du système; ainsi, le système est inefficace. Pour effectuer une vérification d'alerte à l'aide du scanner de vulnérabilité Nessus ; une approche de corrélation et d'analyse de la causalité a été proposée par Lee et Qin [7] ; les auteurs ont proposé une technique de clustering pour regrouper les alertes à être représentées comme une hyper alerte. L'objectif de leur approche était de réduire la quantité d'alertes et obtenir la priorité pour identifier celles qui sont importantes. L'inconvénient de cette approche est son incapacité à supprimer les alertes redondantes. Un mécanisme de cluster d'alerte robuste pour réduire les fausses alertes a été proposé par Njogu et Jiawei [8]. Ce mécanisme calcule les similitudes d'alertes vérifiées à l'aide de la distance entre les nouvelles fonctionnalités d'alerte. La corrélation des événements est l’analyse des événements déclenchés par un ou plusieurs IDSs afin de fournir une vue synthétique et de haut niveau des événements malveillants intéressants ciblant le système d’information. Ainsi, les approches de corrélation d’alertes visent soit à réduire le nombre d’alertes pour éliminer les redondantes Debar et al. [9] ou la détection des plans des attaques Ning et al.[10] où les différentes alertes correspondent à l’exécution d’un plan d’attaque s’étalant sur plusieurs étapes. Récemment, les auteurs dans Benferhat et al., [11] proposent de sélectionner parmi les alertes générées uniquement celles qui correspondent aux connaissances et préférences de l’administrateur du système. V. MODELE PROPOSE : APPROCHE DE CORRELATION DES ÉVENEMENTS L’architecture proposée se compose de trois éléments principaux qui sont la Source de données, l’environnement Sonde et l’environnement de Gestion. Mohammed MOUGHIT Laboratoire Informatique, Réseaux, Mobilité et Modélisation IR2M Faculté des Sciences et Techniques Université Hassan Premier Settat Email : m.moughit@gmail.com Youness IDRISSI KHAMLICHI Laboratoire Informatique, Réseaux, Mobilité et Modélisation IR2M Faculté des Sciences et Techniques Université Hassan Premier Settat Email : ykhamlichi@gmail.com El mostapha CHAKIR Laboratoire Informatique, Réseaux, Mobilité et Modélisation IR2M Faculté des Sciences et Techniques Université Hassan Premier Settat Email : chakirsmi@gmail.com